So sollte ein Compliance-Management-System aussehen

Bei der Frage nach den Anforderungen an ein Compliance-Management-System kommt der TÜV zur Hilfe. Denn der TÜV Rheinland hat im März 2011 einen „Standard für Compliance-Management-Systeme“ als Technische Regel (TR CMS 101) veröffentlicht.

TÜV-Standard für Compliance-Management-Systeme

Der Standard beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliance-Management-System ausmachen. Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Compliance-Organisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern. Dies dient dem Ziel, alle relevanten Compliance-Anforderungen zu erfüllen.

Laut Standard müssen Compliance-Management-Systeme nicht einheitlich gestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation – wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc. – Rechnung tragen.

Vergleichbar mit den Standards für Qualitätsmanagementsysteme, Umweltmanagementsysteme, Arbeitssicherheitssysteme oder für Risikomanagementsysteme enthält der Compliance-Standard Aussagen über die Festlegung von Compliance-Verantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und die Umsetzung der kontinuierlichen Verbesserung.

Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliance-Management-System aufweisen muss. Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „Organisationskultur“ und „Kommunikation“.

Verstöße vermeiden und erkennen

Ziel jedes Compliance-Management-Systems ist hiernach, im Unternehmen systematisch die Voraussetzungen zu schaffen, dass Verstöße gegen definierte Pflichten vermieden bzw. wesentlich erschwert werden und eingetretene Verstöße erkannt und behandelt werden können.

Damit die Anforderungen des Compliance-Standards erfüllt werden können, muss ein Unternehmen eine systematische Compliance-Organisation, also ein Compliance-Management-System, einführen, dokumentieren, verwirklichen und aufrechterhalten.

Notwendige Maßnahmen bei der Einführung einer Compliance-Organisation

Dazu sind – ganz allgemein formuliert – folgende Maßnahmen notwendig:

  • die einzuhaltenden Prozesse sind festzulegen,
  • die erforderlichen Ressourcen und Informationen sind festzulegen und deren Verfügbarkeit sicherzustellen,
  • die Prozesse sind zu überwachen, zu messen und zu analysieren.

Diese Anforderungen umzusetzen ist ein weiterer wesentlicher Schritt zu einer wirksamen Compliance.

Geschäftsleitung in der Verantwortung

Im Einklang mit den gesetzlichen Organisations- und Aufsichtspflichten liegt ein Schwerpunkt des Standards auf der besonderen Verantwortung der Geschäftsleitung, die diese für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des Compliance-Management-Systems trägt.

Der Geschäftsleitung obliegt es auch, den Mitarbeitern die Bedeutung von Compliance-Anforderungen und ihrer Erfüllung zu vermitteln. Von ihr wird ausdrücklich verlangt, ein Bekenntnis zur Schaffung einer Compliance-Kultur abzugeben. Dies beinhaltet, dass sie ihre Erwartung zum Ausdruck bringt, dass die Compliance-Anforderungen auch tatsächlich eingehalten werden.

Wenn man die bisherigen Anforderungen – auch des TÜV – zusammenfasst, kommen folgende Voraussetzungen heraus, die ein Compliance-Management-System erfüllen muss:

Anforderungen an ein Compliance-Management-System

1) Es muss alle Regeln, Pflichten und Maßnahmen enthalten, die für das Unternehmen relevant sind und die von ihm umgesetzt bzw. erfüllt werden müssen, um „compliant“ zu sein.

2) Es muss tagesaktuell sein.

3) Es muss zentral kontrollierbar sein.

4) Es muss steuerbar sein.

5) Es muss die Steuerung, den Verlauf und das aktive Management dokumentieren, um auch nachweisen zu können, dass das Unternehmen „compliant“ ist.

6) Es müssen alle für die Erfüllung der Compliance-Regeln notwendigen Mitarbeiter strukturell und aktiv eingebunden sein.

Alle Arbeitsabläufe sollten dabei im Unternehmen so ausgestaltet werden, dass diese Compliance-Anforderungen problemlos erfüllt werden können. Interessenskonflikte müssen identifiziert und organisatorisch nach Möglichkeit ausgeschlossen werden. Alle relevanten Vorkommnisse sind zu dokumentieren.

Es dürfte einleuchten, dass Sie eine solche Compliance-Organisation nicht mehr mit den guten alten Excel-Tabellenblättern managen können. Es bedarf vielmehr der Unterstützung durch eine Compliance-Management-Software.

Zentrale Übersicht über die Compliance

Hierbei sollte die Möglichkeit bestehen, über eine zentrale Übersichtsfunktion jederzeit im Blick zu haben, wenn in Ihrem Unternehmen etwas im Argen liegt.

Eskalations-Organisation festlegen

Alle Organisations- und Compliance-Verantwortlichen müssen zudem rechtzeitig – etwa per E-Mail – informiert werden, wenn Pflichten nicht fristgemäß erfüllt werden. Dabei sind Abstufungen möglich, die die Höhe des Risikos bzw. des einzutretenden Schadens berücksichtigen.

Bei weniger großen Risiken sind „seichtere“ Eskalations-Organisationen und Erinnerungsintervalle möglich, bei Risiken für Leib und Leben sollten sofort alle !Alarmglocken schrillen”, wenn Aufgaben nicht termingerecht durchgeführt werden.

Doch welche Pflichten und Aufgaben gibt es überhaupt? Welche müssen im Compliance-Management-System enthalten sein? Wie werden diese ausgewählt und definiert?

In 5 Schritten von der Rechtsquelle bis zur Durchführung der Aufgabe

Der Weg ist – grob skizziert – der folgende:

1. Aufbau eines Rechtsquellenregisters

Aufbau eines Rechtsquellenregisters durch Identifizierung der anzuwendenden Regelwerke, wobei dies sowohl gesetzliche als auch interne und sonstige Regelwerke sein können, z. B. sogenannte Codes of Conduct, aber auch Verträge, Genehmigungsbescheide, etc.

Die einschlägigen Texte sind zu verlinken oder in einer Datenbankstruktur abzulegen und über ein Cockpit oder ähnliches zentral darzustellen.

2. Definition der relevanten Regeln

Aus dem Rechtsquellenregister sind die Regeln zu selektieren und zu definieren, die Ihr Unternehmen betreffen.

3. Festlegung der Pflichten

Aus den Regeln werden dann die Pflichten abgeleitet.

Diese müssen mit den Regeln, aber auch mit gegebenenfalls vorhandenen Genehmigungsbescheiden, Auditprotokollen etc., verknüpft werden.

4. Festlegung der Maßnahmen

Als weiterer Schritt müssen nun konkrete Maßnahmen zur Umsetzung der beschriebenen Pflichten festgelegt werden.

5. Aufgaben / Aktivitäten definieren

Aus den Maßnahmen müssen die konkreten Aktivitäten bzw. Aufgaben abgeleitet werden, und zwar inklusive Feststellung der Verantwortlichkeiten und Terminierung: Wer hat was wann zu tun? Wer kontrolliert dies?

Im Einzelfall kann auch – je nach Organisation – ein Externer verantwortlich sein.

Eine solche Aufgabe kann z. B. folgendes beinhalten:

  • Regelmäßige BImSchG-Anlage im Produktionsunternehmen
  • Dreimonatliche Führerscheinkontrolle im Logistik-Unternehmen
  • Regelmäßige Hygieneprüfung in der Gastronomie
  • Tägliche Sicherheitsbegehung einer Liftanlage
  • Tägliche Kontrolle von Schutzvorrichtungen in einer Badeanstalt

Risikobewertung durchführen

Spätestens ab Punkt 3 müssen Sie auch in die Risikobewertung gehen und sich fragen:

Was kann passieren? Was muss das Unternehmen tun, damit dieses Risiko nicht eintritt oder dem Unternehmen nichts passiert, wenn es doch eintritt? Was schreiben die Normen dazu vor?

Vergessen dürfen Sie auch nicht, dass Sie hier auch Risiken bewerten müssen, die Sie zum Teil nicht direkt den Regelwerken entnehmen können. Etwa wenn es um die schon angesprochenen allgemeinen Verkehrssicherungspflichten geht. Wenn Sie Betreiber einer Badeanstalt sind, dann werden Sie in keiner Vorschrift lesen: Kontrollieren Sie die Schutzgitter von Ansaugrohren, damit niemand ertrinkt.

Sie müssen also schauen, wo Ihrem Unternehmen Sorgfaltspflichten erwachsen bzw. wo es durch seine Geschäftstätigkeit Risiken setzt, und müssen dann die entsprechenden Pflichten, Maßnahmen und Aufgaben festlegen, mit denen Sie diese Risiken vermeiden oder minimieren.

Laufende Aktualisierung notwendig

Da sich Gesetzestexte und andere Vorschriften in einem stetigen Wandel befinden und neue Vorschriften laufend hinzukommen, müssen alle Elemente laufend überprüft und gegebenenfalls aktualisiert werden.

Es ist übrigens nicht ungewöhnlich, dass hierbei mehrere Hundert Regeln mit entsprechend vielen Pflichten und Aufgaben festgelegt werden.

Verknüpfung aller Elemente

Wichtig für das Compliance-Management-System ist zudem, dass alle Elemente (Regelwerke – Regeln – Pflichten – Maßnahmen – Aufgaben), die aufeinander aufbauen oder inhaltlich in Verbindung stehen, im Compliance-Management-System immer auch miteinander verknüpft werden. Nur so ist eine effektive Überwachung der Abhängigkeiten möglich.

Erfolgskontrolle und Visualisierung

Der Erfolg der Umsetzung der Aufgaben durch die jeweiligen verantwortlichen Mitarbeiter muss aktiv bewertet werden und im Unternehmen für alle Verantwortlichen deutlich sichtbar gemacht werden.

Die Verwaltung und Kontrolle aller Abhängigkeiten muss deshalb über ein Compliance-Management-Cockpit oder ähnliches sowohl für die Geschäftsleitung als auch für den jeweiligen Aufgabenverantwortlichen jederzeit möglich sein.

Hier müssen alle Aktionen aktuell, zeitnah und wirksam visualisiert werden, so dass sie auf einen Blick erfasst werden können. Dadurch kann jederzeit erkannt werden, ob alle Aufgaben erledigt und somit alle Pflichten erfüllt wurden. Sollte dies nicht der Fall sein, müssen z. B. die Geschäftsleitung und die Aufgabenverantwortlichen hierüber aktiv informiert werden, etwa per E-Mail.

Nur so kann die Umsetzung der festgelegten Aufgaben wirksam überwacht werden.

Compliance muss nicht viel kosten

Das klingt in der Summe nach einem extrem hohen Arbeitsaufwand und einem großen Kostenvolumen.

Das ist aber falsch. Sie können ein professionelles Compliance-Management-System auch ohne hohe Kosten und mit relativ wenig Aufwand in Ihrem Unternehmen einführen.

Und das sollten Sie auch tun, denn es gilt fortan sicherzustellen, dass es zu keinem Zeitpunkt ein Risiko gibt, welches Ihr Unternehmen gefährdet, hohe Strafen nach sich zieht oder andere Schäden für das Unternehmen, für Sie als Verantwortlichen oder für andere Personen birgt.

Der Schaden kann zu jeder Zeit eintreten

Zumal – wie Sie bereits wissen – es nicht ausreicht, wenn die Regeln „nur“ zu einem bestimmten Fixtermin eingehalten werden und nicht ständig überwacht werden – der Schaden tritt meistens ohne Terminvereinbarung ein…

Die Compliance-Management-Software VRIGHT erfüllt die hier genannten Anforderungen an ein Compliance-Management-System. VRIGHT ist eine einfach zu bedienende, nicht überladene Software-Lösung, um Ihr Unternehmen „compliant“ zu machen.

Weitere Informationen finden Sie auf der Startseite.

Natürlich können Sie sich VRIGHT auch einmal genauer ansehen. Nehmen Sie dazu einfach Kontakt zu uns auf.